Categorie
Sicurezza Informatica

Botnet P2PInfect aumenta del 600% con varianti di malware più furtive

Tempo di lettura: 2 minuti. L’attività del botnet P2PInfect cresce vertiginosamente, con nuove varianti di malware più furtive e un aumento significativo dei tentativi di accesso.

Tempo di lettura: 2 minuti.

Il worm botnet P2PInfect sta vivendo un periodo di intensa attività a partire dalla fine di agosto e poi di nuovo a settembre 2023. Questo malware peer-to-peer, che compromette le istanze di Redis attraverso una vulnerabilità di esecuzione di codice remoto su sistemi Windows e Linux esposti su Internet, è stato documentato per la prima volta da Unit 42 nel luglio 2023.

Aumento significativo dell’attività

I ricercatori di Cado Security, che seguono il botnet da luglio 2023, segnalano oggi un’attività globale, con la maggior parte delle violazioni che colpiscono sistemi in Cina, Stati Uniti, Germania, Singapore, Hong Kong, Regno Unito e Giappone. Inoltre, Cado rileva che i recenti campioni di P2PInfect presentano aggiunte e miglioramenti che lo rendono più capace di diffondersi e dimostrano lo sviluppo continuo del malware.

Tra il 12 e il 19 settembre 2023, Cado ha registrato un’impennata dell’attività di P2PInfect, con 3.619 tentativi di accesso in questo periodo, un aumento di 600 volte. Questo aumento coincide con un numero crescente di varianti osservate, suggerendo che gli sviluppatori del malware stiano operando a un ritmo di sviluppo estremamente elevato.

Nuove funzionalità di P2PInfect

Oltre all’aumento dell’attività, Cado ha osservato nuovi campioni che rendono P2PInfect una minaccia più furtiva e formidabile. Tra le nuove caratteristiche:

  • Aggiunta di un meccanismo di persistenza basato su cron.
  • Uso di una chiave SSH per sovrascrivere qualsiasi chiave SSH autorizzata sul punto finale compromesso.
  • Se il malware ha accesso come root, cambierà la password per gli altri utenti sul sistema.
  • P2PInfect ora utilizza una configurazione C struct per il suo client che viene aggiornata dinamicamente in memoria.

Obiettivi non chiari

Sebbene Cado abbia rilevato che le recenti varianti di P2PInfect hanno tentato di recuperare un payload di miner, non ha osservato effettiva attività di cryptomining sui dispositivi compromessi. Pertanto, non è chiaro se gli operatori del malware stiano ancora sperimentando l’ultimo passo dell’attacco. Data l’attuale dimensione, diffusione e capacità di auto-aggiornamento del botnet, P2PInfect rappresenta una minaccia significativa da monitorare.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version